アラート疲れは本当です。考えてみてください: セキュリティ アナリストは、誤ったアラートの追跡やセキュリティ制御の維持にどれくらいの時間を費やしていますか?新しいセキュリティ チーム メンバーのトレーニングにどれくらいの時間を費やして、ネットワークの脅威を監視するという重要でありながら日常的なタスクからすぐに燃え尽きてしまうのでしょうか?彼らはどのくらいの頻度で別の仕事に移り、雇用とトレーニングのサイクルを最初からやり直さなければなりませんか?インシデントになる前にアラートを調査するために、データの津波に人々を投げ込むことは、現実的な解決策ではありません。
多くのセキュリティ オペレーション センター (SOC) には、脅威インテリジェンス ソリューション、SIEM、および場合によっては SOAR が既に含まれています。彼らはいくつかのツールを手に入れましたが、どうすれば脅威を確実に把握できるのでしょうか?
XDR ですばやくまとめる
脅威インテリジェンスはこれまで以上に重要になっています。脅威インテリジェンスを適用するには、組織が直面しているリスクに関する適切なコンテキストが必要です。 SIEM と SOAR は十分に機能していません。これらの SOC ツールはログとデータを収集しますが、それらを使用して環境内の悪を見つけるという約束は果たされていません。これは主に、それらを最大限に活用するために必要な広範なセキュリティ エンジニアリングによるものです。
XDR は、セキュリティ オペレーションのホット トピックであり、正当な理由があります。 XDR ソリューションは、セキュリティ制御とデータとのより深い統合を約束し、検出と対応を改善し、使いやすい SaaS 形式で展開され、高価で複雑なセキュリティ エンジニアリングの負担を軽減します。 XDR は最終的に、より良い方法でセキュリティ運用にアプローチする機会を表しています。
Gartner は、最新のレポートであるInnovation Insight for Extended Detection Responseで XDR に取り組んでいます。このレポートにはさまざまな洞察が含まれており、最新の SOC における XDR の必要性が強調されています。
XDR への移行を検討する際の Gartner の推奨事項:
- 「利害関係者と協力して、人員配置と生産性レベル、IT フェデレーションのレベル、リスク許容度、およびセキュリティ予算に基づいて、XDR 戦略が組織に適しているかどうかを判断します。既存の機能と XDR ソリューションに必要な機能との間のギャップ分析を作成します。
- 徹底的な製品評価とテストを実施して、結果がこの駆け出しの機能の約束を満たしていることを確認します。
- XDR 戦略に沿った内部アーキテクチャと購入ポリシーを作成します。これには、いつ、どのような理由で例外が許可されるかが含まれます。将来のセキュリティの購入と計画されたテクノロジの廃止が、長期的な XDR アーキテクチャ戦略に沿っていることを確認します。
- 既存のスタッフのスキル セットを超える可能性がある場合は、XDR の代替品を構築できるマネージド セキュリティ サービス プロバイダー (MSSP) にアウトソーシングしてください。」
XDR ソリューションの必要性を評価するには、組織は既存のセキュリティ検出および対応プログラムの有効性を判断する必要があります。次の質問を検討してください。
- セキュリティ管理環境の有効性に満足していますか?
- SOC チームのパフォーマンスは良好ですか?
- 管理しなければならない誤検知の数に過労や不満を感じていませんか?
- 彼らは、セキュリティ インフラストラクチャから生成されたすべてのアラートとイベントを調査できますか?
- セキュリティ エンジニアリング チームの負担はどの程度ですか?
- そしておそらく最も重要なことは、これらのシステムに投資したことで期待どおりの結果が得られているかということです。
XDR 製品の評価とテストの重要性は、いくら強調してもしすぎることはありません。従来の SIEM ソリューションの概念実証は非常に困難であり、多くのネイティブ XDR ツールで可能です。次の質問を検討してください: ベンダーは独自のツール/データを使用して環境を立ち上げることができますか?リップ アンド リプレースが必要ですか?展開するために大量の専門サービスが必要ですか?
Gartner はまた、提案されたセキュリティ アーキテクチャを、将来のセキュリティの購入および計画されたテクノロジの廃止に合わせることの重要性についても説明しています。多くの場合、単一ベンダーのツールセットで標準化する必要があるため、これは XDR にとって不可欠です。これは非常に破壊的なテクノロジーの転換を引き起こす可能性があるため、困難な場合があります。
Mandiant アプローチ
Mandiant のアプローチは選択を可能にします。私たちは、主要なエンドポイントおよびネットワーク セキュリティ ベンダー、SIEM、SOAR プラットフォームの多くと協力しています。これは、組織が最適に機能する最善のソリューションを選択できることを意味し、単一のベンダーに依存したり、あまり好まないツールに縛られたりする必要はありません。また、組織が既存の統制の有効性を測定し、それらが適切に構成されていることを確認できるようにします。これは、既存の投資からより多くのことを引き出し、将来のどの投資が最高の ROI をもたらすかを判断するためのデータを持つことを意味します。
外部委託するかどうかは、組織にとって重要な決定です。 SOC の優秀な人材、特にセキュリティ エンジニアリングを見つけて維持することは困難です。 Mandiant は、組織が持っているツールで動作するソリューションに取り組んでいますが、ルールの作成、コンテンツの作成、プレイブックの開発は不要です。代わりに、Mandiant の専門家が行う方法を調査するように設計された事前構築済みのデータ サイエンス モデルを提供しますが、機械の速度で動作し、タイムリーで関連する脅威インテリジェンスで強化されています。また、チームがサポートを必要とする場合は、Mandiant のマネージド サービスがオンデマンドで提供されるか、完全に管理された脅威の検出と対応のソリューションを提供します。
今日の Gartner のレポートを読んでください。それだけの価値があります。また、 Mandiant Advantageプラットフォームについて詳しく知りたい場合は、ぜひご予約ください。
参照: https://www.mandiant.com/resources/blog/lighten-the-load-with-xdr-for-better-threat-detection
Comments